Merry Christmas Ransomware

Ook bekend als: Merry X-Mas ransomware
Verspreiding: Laag
Schadeniveau: <strong>Ernstig</strong>

Beschrijving Verwijdering Preventie

Merry Christmas ransomware verwijderingsinstructies

Wat is Merry Christmas?

Merry Christmas is een virus van het ransomware-type dat stiekem systemen infiltreert en verschillende bestanden versleutelt. Afhankelijk van de variant voegt Merry Christmas één van de volgende extensies toe aan elk bestand: ".PEGS1", ".MRCR1", ".MERRY" of ".RARE1". Volgend op een succesvolle versleuteling opent Merry Christmas een pop-up venster met daarin een bericht met een vraag om losgeld.

Net zoals bij vergelijkbare andere virussen is ook het bericht dat Merry Christmas bevat relatief kort en meldt het enkel dat de bestanden versleuteld werden en dat de gebruiker de ontwikkelaars moet contacteren 5via "@comodosecuriy" telegram or "comodosec@yandex.com" e-mailadressen) en een specifiek losgeld moeten betalen. De kostprijs wordt niet vermeld en de ontwikkelaars vragen meestal een bedrag tussen $500 - 1500  in Bitcoins. Er wordt ook vermeld dat het losgeld moet betaald worden binnen het opgegeven tijdsbestek (het scherm bevat eveneens een timer) want anders zullen alle bestanden worden verwijderd. Momenteel is niet bekend of Merry Christmas symmetrische of asymmetrische cryptografie gebruikt. In elk geval is het ontsleutelen onmogelijk zonder de unieke sleutel. De cybercriminelen bewaren deze op een server op afstand en vragen de slachtoffers honderden dollars te betalen om de sleutel te ontvangen. Ondanks deze tactiek zouden de cybercriminelen nooit mogen gecontacteerd worden en mag je ze ook niet betalen. Betalen is geen garantie dat je bestanden worden vrijgegeven - veel slachtoffers horen niets meer van de cybercriminelen na betaling - en de kans is dus groot dat je wordt opgelicht. Probeer dan ook nooit deze mensen te contacteren of het losgeld te betalen. Er bestaan momenteel geen tools die in staat zijn de bestanden versleuteld door de Merry Christmas ransomware te ontsleutelen. Het probleem kan dus enkel opgelost worden door een herstel van je bestanden/systeem vanuit een backup.

Scrhermafbeelding van een bericht waarin gebruikers worden aangemoedigd een losgeld te betalen om hun getroffen data te laten ontsleutelen:

Merry Christmas decryptie-instructies

Er bestaan tientallen virussen van het ransomware-type die gelijkenissen delen met Merry Christmas waaronder MafiaWare, Erebus en EdgeLocker - dit zijn slechts enkele voorbeelden uit een lange lijst. Alle ransoware versleutelt bestanden en vraagt om losgeld. Er zijn slechts twee belangrijke verschillen 1) De grootte van het gevraagde losgeld en 2) het gebruikte versleutelingsalgoritme (symmetrisch of assymetrisch). Ransomware wordt vaak verspreid via spamberichten (besmette bijlages) peer-to-peer netwerken (bijvoorbeeld torrents, eMule), software gedownload vanaf officieuze bronnen (bestandshostingwebsites, freeware-websites enz.), valse software updaters en trojans. Daarom moet je erg oplettend zijn met het openen van bestanden ontvangen vanaf verdachte of onbekende mailadressen. Cybercriminelen kunnen ook fouten in software misbruiken en dus moet je je geïnstalleerde applicaties steeds naar de nieuwste versie bijwerken als deze beschikbaar is. Gebruik ook een legitieme antivirus- en antispyware software. Bijkomend mag je apps nooit updaten via een externe tool. De sleutel tot computerveiligheid is oplettendheid. 

Update 12 januari, 2017 - Beveiligingsonderzoeker Fabian Wosar van Emsisoft heeft een gratis decryptorr voor deze ransomware ontwikkeld. Download deze HIER.

merry x-mass ransomware gratis decryptor

Tekst getoond in de Merry Christmas pop-up:

MERRY CHRISTMAS
ALLE COMPUTERGEGEVENS WERDEN VERSLEUTELD!
TIJD TOT JE BESTANDEN VERWIJDERD ZULLEN WORDEN
JE ID -
NEEM NU CONTACT MET ONS OP OM JE DATA TE HERSTELLEN NA BETALING ZUL JE DE DECRYPTOR ONTVANGEN
CONTACT
TELEGRAM: @comodosecurity
E-MAIL: comodosec@yandex.com
Elke poging om je bestanden te herstellen met een andere tool zal leiden tot totale vernietiging van je bestanden! De meeste andere software die claimt bestanden te kunnen herstellen beschadigt de bestanden en is bovendien ook niet gratis. Het zal uiteindelijk onmogelijk worden je bestanden te herstellen! Er bestaan verschillende stappen die je kunt ondernemen om je bestanden te herstellen, als je deze niet opvolgt kunnen we je niet helpen!

Merry Christmas ransomware tweede pop-up variant:

merrychristmas-popupgif

Scrhermafbeelding van bestanden versleuteld door Merry Christmas (".RARE1" extensie):

Merry Christmas decryptie instructies

Merry Christmas ransomware verwijdering:

Snelmenu:

Stap 1

Windows XP en Windows 7 gebruikers: Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met netwerk uit de lijst en druk je op ENTER.

Veilige Modus met Netwerk

Video die toont hoe Windows 7 te starten in "Veilige Modus met Netwerk":

Windows 8 gebruikers: Ga naar het Windows 8 Start Scherm, typ Geavanceerd, in de zoekresultaten selecteer je Instellingen. Klik op geavanceerde startopties, in het geopende "Algemene PC-instellingen" scherm selecteer je Geavanùceerde Opstart. Klik op de "Nu herstarten"-knop. Je computer zal nu herstarten in het "Geavanceerde Opstartopties menu". Klik op de "Probleemoplosser"-knop, klik dan op de "Geavanceerde Opties"-knop. In het geavanceeerde opties scherm klik op "Opstartinstellingen". Klik op de "Herstarten"-knop. Je PC zal nu herstarten naar het Opstart Instellingen scherm. Druk 5 om in Veilige Modus met commando-prompt te starten.

Windows 8 Safe Mode with networking

Video die toont hoe Windows 8 te starten in "Veilige Modus met Netwerk":

Windows 10 gebruikers: Klik op het Windows-logo en selecteer het Power-icoon. In het geopende menu klik je op herstarten terwijl je de Shift-knop ingedrukt houdt. In het 'Kies een optie'-scherm klik je op 'Problemen oplossen' en selecteer je de 'Geavanceerde opties'. In het 'Geavanceerde-opties menu selecteer je opstartinstellingen en klik je op de 'Herstarten'-knop. In het volgende scherm moet je op de F5-knop drukken. Zo zal je besturingssysteem in veilige modus met netwerk herstart worden.

Windows 8 Safe Mode with networking

Video die toont hoe Windows 10 te starten in "Veilige Modus met Netwerk":

Stap 2

Log in op het account dat besmet is met *.aesir Ransomware. Start je internet browser en download een legitiem anti-spyware programma. Werk de anti-spyware software bij en start een volledige systeemscan.


DOWNLOAD
Merry X-Mas ransomware opruimer

Als je hulp nodig hebt bij het verwijderen van merry christmas ransomware kun je ons 24/7 bellen:
+31 (0)858 881 156
Met het downloaden van software gepubliceerd op deze website verklaart U zich akkoord met ons privacy beleid en de algemene gebruiksvoorwaarden. Alle door ons aanbevolen producten zijn zorgvuldig getest en goedgekeurd door onze technisch deskundigen als zijnde een van de meest efficiënte manieren om deze bedreiging te verwijderen.

Als je je computer niet kan starten in veilige modus met netwerk probeer dan systeemherstel uit te voeren.

Video die toont hoe het ransomware virus te verwijderen via de "Veilige Modus met commando-prompt" en "Systeemherstel":

1. Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met commando-prompt uit de lijst en druk je op ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Als de commando-prompt modus geladen is typ dan de volgende regel: cd restore en druk op ENTER.

system restore using command prompt type cd restore

3. Typ vervolgens deze regel: rstrui.exe en druk op ENTER.

system restore using command prompt rstrui.exe

4. In het geopende venster klik "Volgende".

restore system files and settings

5. Selecteer één van de beschikbare herstelpunten en klik "Volgende" (dit zal je computer herstellen naar een eerdere tijd en datum, voor deze ransomware je PC geïnfiltreerd had).

select a restore point

6. In het geopende venster klik "Ja".

run system restore

7. Na het herstellen van je computer naar een eerdere datum download en scan je je PC met aanbevolen anti-spyware software om enige achtergebleven delen van het Rackcrypt ransomware te elimineren.

Om individuele bestanden te herstellen die werden versleuteld door deze ransomware zouden PC-gebruikers de Vorige Versie-functie van Windows kunnen proberen te gebruiken. Deze methode is effectief als de Systeem Herstel-functie geactiveerd was op het besmette besturingssysteem. Merk op dat sommige versies van de *.aesir ransomware de schaduwvolume-kopies van bestanden verwijderen dus deze methode zal niet altijd werken.

Om een bestand te herstellen klik met de rechtermuisknop op het bestand, ga naar Eigenschappen en selecteer de Vorige Versie-tab. Als het geselecteerde bestand een herstelpunt heeft, selecteer dit dan en klik op de "Herstellen"-knop.

Bestanden herstellen versleuteld door CoinVault

Als je je computer niet kan starten in veilige modus met netwerk (of met commando-prompt) dan kan je je computer opstarten met een hersteldisk. Sommige varianten van deze ransomware schakelen de veilige modus uit waardoor het verwijderen ervan moeilijker wordt. Om deze stap uit te voeren zal je toegang moeten hebben tot een andere computer.

Om de controle terug te krijgen over bestanden die werden versleuteld met *.aesir ransomware kan je ook een programma uitproberen genaamd Shadow Explorer. Meer informatie over hoe dit programma werkt kan je hier vinden.

shadow explorer schermafbeelding

Om je computer tegen ransomware die bestanden versleutelt te beschermen zou je gereputeerde antivirus of anti-spywareprogramma's moeten gebruiken. Als een extra beschermingsmethode kunnen computergebruikers de programma's HitmanPro.Alert en Malwarebytes Anti-Ransomware gebruiken, deze bouwen group policy objecten in het register zodat programma's als *.aesir geblokkeerd worden.

HitmanPro.Alert CryptoGuard - detecteert de versleuteling van bestanden en blokkeert dit automatisch:

hitmanproalert ransomware preventie applicatie

Malwarebytes Anti-Ransomware Beta gebruikt geavanceerde proactieve technologie om ransomware-activiteit te meten en meteen te stoppen. Voordat gebruikersbestanden getroffen worden.

malwarebytes anti-ransomware

  • De beste manier om schade door ransomware-besmettingen te voorkomen is het regelmatig nemen van backups. Meer informatie over online backup oplossingen en dataherstelsoftware vind je HIER.

Andere tools die Merry Christmas ransomware kunnen verwijderen:

Onze malware verwijderingsgidsen zijn gratis. Maar als je ons wil steunen mag je ons altijd een donatie sturen.